'ISF2013'에 해당되는 글 2

  1. 2014.02.14 APT 대응을 위한 가트너의 제언
  2. 2013.11.18 어떻게 APT를 없앨 것인가

APT 대응을 위한 가트너의 제언

현장속으로/세미나 2014.02.14 18:59

작년 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 최근 화두가 되고 있는 APT에 대한 안랩의 대응 전략에 대해 김홍선 대표의 키노트 후 이어진 두 번째 키노트에서는 세계적인 시장조사기관 Gartner의 분석가 로렌스 핑그리(Lawrence Pingree)의 발표가 있었다. ‘APT 대응을 위한 차세대 보안 전략(Best Practices for Mitigating Advanced Persistent Threats)’이라는 주제로 APT에 대한 가트너의 제언을 볼 수 있는 키노트였다.




보안 분야에서 문제를 겪는 것에는 크게 두 가지 요인이 있다. 첫번째는 웹, 웹 사이트 등 사용자 이름, 비밀번호 등과 관련된 것이고, 두 번째로는 멀웨어, 특히 최근에는 진화된 멀웨어가 있다. 이번 발표는 웹보다는 멀웨어와 관련하여 발생하는 문제에 대해 주로 언급하였다. 2013년 한 해 동안 방화벽, IPS(Intrusion Prevention Systems, 침입방지시스템), 엔드포인트, 웹 게이트웨이 솔루션 등에 130억 달러가 투자될 것으로 예상되지만, 여전히 해커들은 계속 공격에 성공한다. 보안에 대한 투자는 상당히 많이 이뤄지고 있지만, 여전히 우리는 그 피해를 보고 있다. 한 예로 2009년부터 2013년 사이에 북한의 사이버 공격에 따른 피해가 8600억원으로 추정된다고 한다.

그래서 핑그리는 APT와 관련하여 크게 3가지로 이야기를 하기로 했다. 첫 번째로는 APT란 무엇이고, 왜 전세계적으로 대단한 위협이 되고 있나에 대한 것이다. 두 번째로는 APT에 대응하는 우리의 적절한 전략은 무엇인가 라는 점이다. 마지막으로 세 번째로는 APT에 대응하는 시나리오에 대해 언급한다고 하였다.

 

1. APT란 무엇인가. 그리고 왜 전세계적으로 대단한 위협이 되고 있나.

APT는 Advanced Persistent Threat의 약자로, 다음과 같이 정의할 수 있다.

A: 기존의 방어체계를 꿰뚫는다.

P: 침투에 성공할 때까지 끊임없이 시도하고, 침투한 후에도 잠복하여 목적을 달성하고자 한다.

T: 피해를 발생시킨다.

이러한 APT는 제로데이 취약점 등 기존에는 시도되지 않은 새로운 공격 벡터 방식을 이용한다. 보안망 아래에서 숨어 있다가 활동하며, 자신들이 얻고자 하는 목표를 달성할 때까지 지속적으로 공격을 한다. 더구나 그 공격의 주체는 체계화되어 있고, 재정적인 여유가 있는 상황으로 원하는 목표를 위해서 쉽게 물러서지 않는다.


APT는 다음과 같은 속성을 가진다. 첫 번째로 APT는 기존의 시그니처 기반의 보안 솔루션으로는 쉽게 탐지되지 않는다. 특정대상을 공격하기 위해 타깃화 되어 있는 악성코드이다. 두 번째로 오랜 기간 동안 은닉하고 숨어있으며, 스스로 업데이트 되는 지능적인 공격 형태를 가진다. 세 번째로는 공격 초기 단계에 설정한 목표물을 탈취하거나 무력화시키는 공격형태를 가진다. 네 번째로 공격을 위한 정보, 취약점을 수집하기 위해 소셜 미디어를 활용하며, VPN 등을 이용해서 내부에 침투한다.

그런데 APT라는 용어는 과거 미군에서 처음 사용된 용어로 주로 국가적인 차원의 공격에 초점을 맞추는 용어이다. 요즘의 타깃화 된 공격은 금전적인 목적을 위한 범죄 행위가 많다. 그래서 가트너에서는 APT라는 용어 대신 ATA(Advanced Targeted Attack)이라는 용어를 제안했다.


그렇다면 위와 같은 특성을 가지는 ATA는 어떤 목적으로 시도되는지에 대해 생각해 볼 필요가 있다. 먼저 ATA를 시도하는 해커는 이전에 시도되는 공격 때와는 다른 성향을 가지는 해커들이다. 목표 지향적이고, 충분한 자금을 가지고 있고 그 자체의 생태계를 가지고 있어서 당장 얻을 수 있는 것보다는 큰 목표를 가지고 행동한다. 두번째로 산업 스파이 같은 형태가 있다. 기업의 지적 재산권이나 비밀을 탈취하려는 목적을 가지고 계획한다. 또한 정치, 사회 운동가 및 테러 단체의 공격으로 시도되기도 한다. 자신들의 주장을 피력하고 위협을 가하려는 목적을 가진 것이다. 대표적으로 북한 시도로 추정되는 사이버 공격이 그러한 사례로 볼 수 있다. 이 밖에도 원래 APT라는 용어의 기원처럼 국가 차원의 정치, 군사, 경제적 목적으로 공격이 이뤄지는 경우도 있다.


2. APT에 대응하는 우리의 적절한 전략은 무엇일까.

일단 APT, ATA의 위협을 알아보았으니 그것에 대해 어떻게 전략을 세울 것인가에 대한 고민이 필요하다. 먼저 우리의 기업도 ATA의 타겟이 될 가능성이 높은지, 기업이 직면하고 있는 위협을 파악하고 그에 맞는 적절한 대응 전략을 수립할 필요가 있다.


먼저 기업이 중요한 국가적, 사회적 인프라와 연관성이 얼마나 있는지에 대한 파악이 필요하다. 만약 기업의 피해가 국가적 손실로 바로 연결된다면 기업과 국가 모두에 큰 타격이 될 수 있기 때문이다. 대표적으로 에너지 관련 기업이나 교통, 금융기관 같은 사회 인프라와 관련된 국가 기간 산업이 있는데, 피해를 받게 되면 여러 다른 산업에까지 줄줄이 피해를 줄 수 있다. 두번째로는 사업의 연속성 중단에 따라 받게 되는 기업의 타격에 대해서도 파악할 필요가 있다. 만약 잠깐 일이 중단되어도 괜찮다면 상관없지만, 잠깐이라도 일이 중단되어서는 안 되는 기업이라면 위협에 대비할 필요성이 더욱 커진다.

그래서 우리는 기본에 충실할 필요가 있다. 비즈니스 관점에서 ATA의 위협에 대한 인식이 필요하다. 그런데 단순한 악성코드를 막고, 제거하는 것만으로는 ATA에 대한 대응이 부족하다. 그렇기 때문에 우리는 위협에 대한 가시성을 증가시키고, 기업의 책임 범위를 좀 더 확대할 필요가 있다. 만약 그러한 사고에 대응하는 역량이 부족하다면 그것은 ATA에 대응하는 데 큰 걸림돌이 된다.


그렇다면 이러한 ATA에 대응하기 위한 솔루션 시장의 상황을 보자. 이러한 솔루션들은 ATA 대응을 위해 여러가지 서비스를 하고 있다. 네트워크 트래픽 분석, 네트워크 포렌식, 페이로드 분석, 엔드포인트 행위 분석, 엔드포인트 포렌식, 이렇게 크게 5가지가 있다. 하지만 많은 솔루션들은 현재에도 사용되는 웹 게이트웨이, 차세대 방화벽, 엔드포인트 보안 등의 방법을 기반으로 ATA 대응 시장에 진출하고 있다. 그래서 ATA에 대응하는 솔루션은 기존의 엔드포인트/시그니처 기반의 솔루션과 함께 상호보완적으로 작동하고 있다. 이러한 상황을 볼 때 ATA에 대응하기 위한 솔루션 시장은 여러 제품의 기능과 성능 그리고 효과가 비교되기 시작하는 단계에 있다고 볼 수 있다. 시간이 조금 지난 후에는 시장 검증을 통해 ATA 솔루션 기술이 개선될 것으로 보인다.

 

3. APT 대응 시나리오

그럼 이제 APT에 어떻게 대응을 하면 좋을까, 그 시나리오에 대해 알아본다. 기업의 규모에 따라 시나리오는 다르게 적용될 필요가 있다. 아무래도 정부기관이나 대기업일수록 중요한 정보가 상대적으로 많고, 공격을 받으면 그만큼 피해의 규모가 더 커질 수 있다. 그래서 더 철저하게 대비를 할 필요가 있다. 한편 기업의 규모가 작을수록 보안에 투자할 수 있는 여력이 상대적으로 부족하다. 따라서 적은 비용으로 효과적인 대처를 할 수 있도록 선택과 집중이 필요하고, 협력이 더 필요하다.


 


지금까지 이렇게 APT에 대응하는 가트너의 차세대 보안 전략에 대해 크게 3가지로 정리를 해 보았다. 이것을 정리하며 가트너는 다음과 같이 제안한다.


먼저 기업이 직면한 위협 수준과 실질적으로 보안에 대한 필요성이 얼마나 되는지를 파악하는 것이 중요하다. 이것은 즉 주목적이 위협에 대한 파악인지, 위협을 제거하고 그에 대한 흔적을 찾고 싶은 것인지 등 보안에 대한 명확한 목표를 설정한 후에 실질적인 대응이 가능하다는 것이다. 두번째로는 예상되는 공격 형태에 따라 균형 잡힌 ATA 대응 전략을 수립할 필요가 있다. 마지막으로 악성코드를 이용한 타깃 공격에 특화된 솔루션에 대한 검토가 필요하다. 악성코드를 이용한 타깃 공격은 모든 기업이 맞이하고 있는 문제로 기업의 특성, 형태에 따라 중요 자산에 대한 파악, 우선 순위를 정하고, 그에 맞춰서 보안 위협을 예측하고 적절한 솔루션 도입 계획이 필요하다.


그러면 이러한 것을 앞으로 어떻게 실행할 것인가. 지금 당장은 ATA 대응 전략 수립을 위한 전사적인 태스크포스 팀을 꾸리는 것이 좋다. 그리고 90일 이내에 실효성 있는 ATA 대응 전략을 수립하고, 효율적인 ATA 대응 솔루션을 검토하며, PoC(Proof of Concept, 개념 증명) 및 평가를 하는 것이 필요하다. 그리고 향후 1년 동안 ATA 대응 솔루션을 구축하고 대응 현황 분석 및 모니터링이 된다면 앞으로 APT에 대해 적절한 대응을 할 수 있을 것이다.



APT는 기업에게 상당히 큰 보안위협이 될 수 있다. 하지만 많은 기업들이 전통적인 대응 시스템을 가지고 전혀 다른 형태의 공격에 대비하려고 하고 있다. 진화하는 위협을 막기 위해서 우리는 더 진화된 대응 시스템을 가지고 미래를 대비해야 할 것이다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


댓글을 달아 주세요

어떻게 APT를 없앨 것인가

기술의 발전에 따라 급격히 변하는 IT 환경에서 다양한 기술을 새롭게 활용할 수 있게 되었지만, 그에 따른 보안 위협 역시 증가하고 있다. 그러한 면에서 기업이나 여러 단체에게 가해지는 지능형 지속 위협 (APT: Advanced Persistent Threat)은 단순한 위협으로 끝나지 않고 위기가 될 수 있다. 이에 대해서 지난 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 첫 순서로 안랩의 김홍선 대표가 어떻게 지능형 지속 위협을 끝낼 수 있는지에 대한 솔루션을 제시하였다.



우리의 환경은 과거와 많이 달라졌다. 바이러스, 악성코드의 숫자는 급격하게 증가하였고, 2000년대에 만들어진 스마트폰이 현재의 스마트폰과 태블릿으로 이야기되는 모바일 시대를 이루고 있다. 이 기기들은 기계와 의사소통하는 것이 아니라 기술적인 장벽을 없애서 마치 멀리 있는 사람이 가까이 있는 것처럼 만들 수 있는 혁신적인 플랫폼이 되었다. 또한 소셜 네트워크 서비스를 통해 새로운 변화를 일으키고 있다. 과거에 제품을 만들어서 공급하는 산업 혁명의 시스템에서 벗어나 하나의 생태계, 플랫폼이 형성되어 있다. 예를 들어 구글이나 아마존, 애플 등 모두 자신의 플랫폼을 보유하고 있다. 이런 변화를 실현하고 있는 것은 무엇일까? 바로 소프트웨어이다.


이러한 소프트웨어는 크게 3가지 특성을 가지고 있다. 첫번째, 모든 소프트웨어는 사용 친화력이 있어야 한다. 컴퓨터가 워낙 대중화되어 사람들이 불편한 것을 용납하지 않는다. 과거에는 몇 달 동안 배워서 자신의 차례를 기다려야 겨우 사용할 수 있었지만, 지금은 컴퓨터의 성능이 훨씬 좋고, 많은 사람들에게 대중화되어 있다. 그래서 요즘엔 사람들이 받자마자 바로 사용하게 된다. 두번째, 데이터 트래픽이 무척 많아졌다. 환경의 변화에 따라 수많은 기기들이 연결되어 많은 데이터가 모여 엄청난 트래픽을 발생시키고, 클라우드가 형성되고 있다. 그것이 모여 빅데이터의 형태가 되기도 하며, 그것을 어떻게 활용할 것인가에 대한 고민이 생겼다. 세번째, 보안의 문제가 다시 부각된다. 보안이라는 것은 결국 인터넷과 소프트웨어의 취약점에서 발생하게 되기 때문이다.


지금까지 굉장히 많은 보안 사고들이 일어났다. 우리나라 뿐 아니라 선진국도 마찬가지로 많은 공격을 받았다. 점점 복잡해지고 테러, 사기, 절도 등 굉장히 다양하게 나타나고 있다. 게다가 더 많은 사람들이 IT기기를 통해 연결된 상태가 되어 가고 있어서 공개된 취약점이 더 늘어나고 있다. 그에 반해 요즘 해커들은 조직화되어 있고, 지능화되어 있다. 1-2명의 젊은 해커들의 공격으로 끝나는 것이 아니라 나름의 생태계를 가지고 많은 자본과 치밀한 구성으로 지속적으로 공격을 하게 된다. 그래서 우리는 그 위협의 근본적인 실체, 공격의 주체에 대해 좀 더 생각을 해볼 필요가 있다.


 

최근의 사이버 공격은 전부 악성코드로 이루어진다. 서버, 취약한 PC, 스마트폰을 공격해서 웹사이트, 이메일, 사회학적 기법, USB 등 엔드포인트를 가리지 않고 여러 가지 기법을 통해 파고들어 취약점에 대해 공격을 전개해나간다. 그러한 조직은 돈이 많아서 조직화되어 있고, 서둘러서 현금화할 필요가 없어서 작은 것을 추구하지 않고 오래 기다려서 큰 것을 얻으려고 한다. 즉, 기업에서 가장 가치 있는 것들을 노리고 있다. 이러한 조직화된 범죄 그룹들이 여러 목표를 바꿔가면서 공격하고 목표를 설정하면 쉽게 포기하지 않는다.



과거의 위협은 감기 같은 것이라고 볼 수 있었다. 증상도 바로 나타나고 불특정 다수를 대상으로 이뤄졌다. 사람이 독감주사를 맞듯이 처방 역시 백신을 통해서 했다. 해커들은 공격에서 안 풀리면 대상을 바꾸는 경우가 많았다. 그래서 일단 방어하면 큰 문제가 되지 않았다. 하지만 모든 감기에서 벗어날 수 없었다. 새로운 바이러스가 발생하면 바로 잡지 못 했다.

하지만 요즘 나타나는 APT는 암과 같은 존재라고 볼 수 있다. 증상이 바로 나타나지 않고, 잡았다 하더라도 거기서 끝나지 않는다. 악성코드가 하루에 20만개가 넘게 나오는데 그걸 잡아도 다른 것들이 또 나온다. 또한 취약점에 대해 아무리 잘 대비해놓았다고 하더라도 조직 내에 침투에 숨어있다가 취약점이 새로 나타나기를 기다리기도 한다. 6개월~1년을 기다려서 자신들이 원하는 목표를 달성할 때까지 잠복하고 공격을 한다.

 

그렇다면 우리는 왜 이런 보안사고를 겪게 될까. IPS(Intrusion Prevention Systems: 침입방지시스템) 같은 장비로 막으려고 하지만, 한 가지 원인만 있는 것이 아니다. 일단 접속되는 것들이 매우 많고, 모두 연결되어 있고, 사용자 또한 매우 많아져서 로그가 너무 많다. 또한 각각의 성격이 다 달라서 통합해서 보아야 한다. 게다가 APT의 경우 권한을 탈취해서 관리자처럼 행세하기 때문에 진짜 관리자인지 공격자인지 구분이 되지 않는 경우도 있다. 그래서 기존의 방어시스템이 여전히 필요하지만, 그것만으로는 무력해지게 된다.

우리는 사고가 발생했을 때 포렌식을 해보게 된다. 포렌식만 적절히 할 수 있다면 그것을 통해 알려지지 않은 악성코드가 어떻게 거쳐서 왔는지 확인할 수 있다. 하지만 해커는 똑똑해서 안티-포렌식 과정을 통해 흔적을 없애고 전부 삭제해서 없앤다. 그럼 우리는 다시 안티-안티-포렌식을 통해 다시 복구하고, 접속하는 과정을 거친다. 이처럼 현재의 문제는 악성코드 하나의 싸움이 아니라 큰 그림을 보아야 하는 포렌식 중심으로 바뀌었다. 그래서 우리는 패러다임을 바꿔야할 필요가 있다. 

 

대부분의 보안제품들은 수동적인 방식으로 동작되고 있다. 알려진 공격 방법이나 취약점을 공격할 때 시그니처를 기반으로 막고 있다. 이것도 물론 여전히 유효하지만 지금의 해커들은 전 세계 어느 백신도 탐지하지 못하는 새로운 악성코드를 만들어서 특정 조직에 들어온다. 그럼 백신이 아무리 경험적 접근(Heuristic Approach)을 통해 막으려 해도 어느 한 곳에서 비슷한 형태로라도 발견되어야 잡아낼 수 있다. 그래서 우리는 하나하나의 사건보다는 전체의 흐름을 포렌식 관점으로 보고 선제적(Proactive)으로 대응하는 방법을 세워야 한다. 그렇게 하기 위해서는 사람의 노동에 의지할 수 없고, 지능화된 시스템으로 대응이 되어야 한다.



안랩에서는 클라우드 기반의 악성코드 인프라 Ahnlab Smart Defense(ASD)를 만들었다. 여러 디바이스, 소프트웨어에서 실시간으로 커뮤니케이션하는 체제를 갖추고 있다. 먼저 알려진 공격, 알려진 정상파일을 분류하는 걸로 시작하는데 여기서 90%가 걸러진다. 그리고 위협이 탐지되었을 때는 행위를 기반으로 분석하게 되며 로컬에서는 불가능한 클라우드 분석을 통해 IP, C&C(명령 및 제어) 서버 정보 등 여러 정보를 수집한다. 이렇게 로컬에서 불가능한 알려지지 않은 위협의 경우 비율은 굉장히 작지만, 가장 치명적인 부분이다.


 


그래서 안랩에서는 그동안의 서비스 경험과 네트워크 관련 클라우드 기반 시스템을 이용해서 APT 솔루션인 TrusWatcher(해외에서는 MDS(Malware Defense System))를 만들었다. 이 APT솔루션은 크게 4단계로 구성되는데, 김홍선 대표는 이것을 New Horizon of Security라고 언급했다.


먼저 기존의 알려진 위협에 대해 대처한다. 웹, FTP, 이메일, 메신저 등 여러가지 경로로 오는 것들을 검증하게 된다. 어떻게 들어오는지, 악성코드인지 아닌지를 구분하게 되는데 여기서 많은 부분이 걸러지게 된다.

두 번째는 네트워크를 중심으로 한 수직적 보안이다. 수직적으로 들어오고 나가는 파일 중 알려지지 않은 것이 왔을 때 샌드박스(보호된 영역 내에서 프로그램을 동작시키는 것)를 통해 돌려보고 행위 기반으로 탐지하게 된다. 최근에는 최초 공격부터 문서 파일로 위장해서 공격을 하고 있어서 PE(Portable Executable) 파일 뿐만 아니라 문서와 같은 non-PE 파일 모두를 검증하게 된다. 또한 평판 클라우드 기반으로 탐지하여 기존에 알려지지 않은 것에 대해 위험성을 탐지해 낸다.

세 번째로는 내부 네트워크 상에서 대응하는 수평적 보안이다. 수직적 보안이 되어 있다고 해도 내부에 침투할 위협은 여전히 존재한다. 이것에 대응하기 위해 모니터링을 하게 되는데, 단순한 통계만을 보는 것이 아니라 치명적인지 여부와 실제로 공격의 형태인지 아니면 공격을 끌어들이는 유인책인지 등을 분류해서 막게 된다. 네트워크를 통과해서 실행이 됐다고 하더라도 그것을 보류하고(Execution Holding), 만약 암호화된 트래픽이라면 네트워크 장비에서는 볼 수 없는 상태인데, 엔드포인트에서 탐지하여 암호를 해독(Decryption)해서 다시 확인하는 방법으로 검증을 하게 된다.

네 번째로는 위에 언급된 3가지의 방법에 이것을 받쳐주는 보안 서비스이다. 포렌식, 관제 서비스 그리고 보안 컨설팅 등을 통해 APT와 같은 공격에 효과적으로 선제 대응을 할 수 있도록 해준다.



기존에 존재하는 보안 솔루션은 여전히 필요하고 중요하다. 하지만 PC의 숫자는 감소하고 있고 엔드포인트는 다변화하는 등 네트워크 중심의 환경으로 변화하고 있다. 이러한 상황에서 기존의 방어 수단을 유지하면서 네트워크와 에이전트가 함께 다차원적인 분석을 이용하는 것이 중요하다. 또한 수직적인 부분과 수평적인 부분을 동시에 모두 막고, 오히려 선제적인 대응을 하는 것이 APT에 대한 근본적인 대책이 될 수 있을 것이다. 


대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.
"우리는 우리가 하는 행동에 의해 우리가 된다." 



gisu.bang@kaist.ac.kr


댓글을 달아 주세요